CobiT (Bilgi Teknolojilerine İlişkin Kontrol Hedefleri) Bilgi Sistemleri Denetim ve Kontrol Birliği (ISACA) tarafından bir denetim aracı olarak tasarlanmıştır. Yazılım Mühendisleri Enstitüsü’nün Yetenek Olgunluk Modeli (Capability Maturity Model-CMM) ile ISO ve ITIL’i esas alır. İşletmelerin iş hedefleri doğrultusunda servis sağlamak amacıyla bilgi işlem kaynaklarını kullanmasını amaçlar ve verilen servislerin, istenilen kalite, güvenlik ve hukuksal ihtiyaçlara cevap vermesini temin eder.
CobiT süreç değil kontrol esaslıdır bu yüzden kurumların neler yapmaları gerektiği ile ilgilenir ama bunları nasıl yapmaları gerektiği ile ilgilenmez.
1996 yılından ilk olarak yayımlanan CobiT standartları 2007 yılında CobiT 4.1v olarak güncellenmiş ve halen CobiT 4.1v birçok kurum ve kuruluş tarafından kullanılmaktadır. ISACA tarafından 2012 yılı Q1 sonunda CobiT 5 ’in yayımlanması beklenmektedir.
ISACA tarafından yorumlanması ve değerlendirilmesi amacı ile CobiT 5 draft olarak yayımlanmıştır. Bu draft versiyonun 2012 yılı Q1 sonu gibi yayımlanması beklenen final versiyona yakın olacağı düşünülmektedir.
Bu yazımızda CobiT 4.1v ile CobiT 5 arasındaki temel farklılıklara ve CobiT 5 ile gelen bazı yeni değişikliklere göz atacağız.
CobiT 5 üç adet kitapçık olarak tasarlanmıştır. Önceki versiyonlara göre daha kapsamlı ve uzun bir doküman olduğunu gözlemliyoruz.
1. CobiT Çerçevesi (The Framework)
2. Süreç Referans Rehberi (Process Reference Guide)
3. Uygulama & Kurumsal BS Yönetişimin Sürekli Geliştirme (Implementing & Continually Improving Enterprise Governance of IT)
1. CobiT Çerçevesi (The Framework)
CobiT çerçevesi toplam 5 ana prensip den oluşmaktadır.
· Prensip 1: COBIT 5 INTEGRATOR FRAMEWORK—ARCHITECTURE
· Prensip 2 & 3: STAKEHOLDER VALUE‐DRIVEN AND BUSINESS‐FOCUSSED
· Prensip 4: COBIT 5 ENABLERS FOR GOVERNANCE AND MANAGEMENT
· Prensip 5: GOVERNANCE‐ AND MANAGEMENT‐STRUCTURED
CobiT çerçevesini oluşturan 5 prensibi özetle inceleyelim:
Bütünleyici Çerçeve (Integrator Framework)
Val IT, Risk IT, BMIS ve ITAF standartlarını içeren ve diğer IT standartları (ISO, TOGAF, PMBOK ve ITIL) ile bütünleşmiş bir yapı oluşturulması anlatılmaktadır.
Paydaş Değerlerine Odaklı (Stakeholder Value Driven)
Organizasyonun var oluş amacı paydaşlar için değer oluşturmasıdır. Bu yüzden yönetişim objektiflerinden bir tanesi de değer oluşturmaktır. Değer oluşturulması faydalarının realize edilmesi, kaynakların optimize kullanılması ve risklerin optimize edilmesi şeklinde olmalıdır.
Paydaş Değerlerine Odak İçeriği:
· Risk Optimizasyonu
· Kaynak Optimizasyonu
· Fayda Farkındalık
İş ve Bağlam Odaklı (Business and Context Focussed)
Bir iş odaklı olması, kurumsal amaç ve hedeflere odaklanan anlamına gelir. Bu faydaları gerçekleştirilmesi, risk optimizasyonu ve kaynak optimizasyonu için her işletmenin amacı ile ilgilidir. COBIT 5 kritik iş elemanları, yani süreçleri, organizasyon yapıları, ilke ve politikalar, kültür, beceri ve servis yeteneklerini kapsar. Buna ek olarak, yeni bilgi modeli basit bir iş bilgi ve BT fonksiyonu arasında bir bağlantı sağlar.
Etkinleştirici Tabanlı (Enabler Based)
Yönetişim için kullanılan organizasyon araçlar (çerçeveler, ilkeler, yapılar, süreç ve uygulamalar) yönetişim kolaylaştırıcılar olarak tanımlanır. Yönetişim tüm organizasyonlar için uygulanabilir, ve işletmenin, maddi veya maddi olmayan tüm varlıklarına uygulanabilir.
Yönetişim ve Yönetim (Governance and Management Structured)
CobiT 5 Yönetişim ile Yönetim kavramları net olarak ayırmaktadır. Yenilik olarak göze ilk çarpan özelliklerden bir tanesidir.
Yönetişim (Governance) : Üst yönetim takımının kurumsal hedeflere ulaşılması için sponsorluk sunması ve doğru kararların verilmesini sağlamasıdır.
Yönetim (Management) : Yönetişim tarafından belirlene çalışma stratejisi doğrultusunda kaynakların, insan kaynaklarının, süreçlerin ve uygulamaların efektif olarak kullanılmasının sağlanmasından sorumludur.
Proses Kapasite Modeli (Process Capability Model)
CobiT 5 ile birlikte CobiT 4.1v tarafından kullanılmakta olan “Maturity Model” değiştirilmiştir. Proses kapasite değerlendirme standardı olarak ISO/IEC 15504 standardı kullanılmıştır.
Seviye Açıklama
0 Eksik
1 Gerçekleşen
2 Yönetilen
3 Kurulu
4 Tahmin Edilebilen
5 Optimize
2. Süreç Referans Rehberi (Process Reference Guide)
Süreç Referans Rehberi içerisinde mevcut CobiT 4.1v,Val IT ve Risk IT süreçlerini kapsayacak şekilde kapsamlı bir doküman olarak oluşturulmuştur. Val IT ve Risk IT ISACA tarafından ilk yayımlandığından beri gereken ilgi ve alakayı görmemiştir. ISACA tarafından Val IT ve Risk IT CobiT 5’in içerisine doğrudan eklenmiştir. ISACA tarafından favori olmayan Val IT ve Risk IT bu şekilde biraz daha göz önüne alınmaya çalışılmaktadır.
Süreç Referans Rehberi her bir süreç için :
· Proses Adı, Alanı ve Domain
· Proses Tanımı
· Proses Amaç İfadesi
· IT İlişkili Hedefler ve Metrikler
· Proses Hedefleri ve Metrikleri
· RACI Tablosu
· Proses (Yönetişim veya Yönetim) Aktiviteleri, Gidiler/Çıktılar bulunmaktadır.
Proseslerin girdi/çıktıları (inputs / outputs) detaylı olarak Süreç Referans Rehberi içerisinde ele alınmıştır.
Mevcut süreçlerin isimlerinde/kapsamlarında değişiklik yapılmış ve bu dört sürecin üzerinde bir adet yeni kurumsal yönetişim süreci oluşturulmuştur.
12 adet APO başlığı içerisinde, 8 adet BAI başlığı içerisinde, 8 adet DSS başlığı içerisinde, 3 adet MEA başlığı içerisinde ve tüm bu dört başlığı çevreleyen 5 adet EDM başlığı içerisinde olmak üzere toplam olarak 36 adet süreç tasarlanmıştır.
CobiT 5 süreçlerin oluşturulmasında farklı bir tarz izleyerek, ilk aşamada süreçleri iki alana ayırmaktadır. Yönetişim Süreçleri ve Yönetim Süreçleri.
Yönetişim Süreçleri:
Değerlendirme, Yönetme & İzleme (Evaluate, Direct and Monitor)
· EDM1 - Yönetişim Çerçevesini Belirle ve Yaşat
· EDM2 - Değer Optimizasyonu
· EDM3 - Risk Optimizasyonu
· EDM4 - Kaynak Optimizasyonu
· EDM5 - Paydaşların Şeffaflığı
Yönetim başlığında mevcut domainler korunmuş ve isimleri güncellenmiş ve içeriklerinde eklemeler ve/veya çıkarımlar yapılmıştır. CobiT 5 Yönetim başlığında dört adet domain bulunmaktadır.
Yönetim Süreçleri:
· Hizala, Planla ve Organizasyonu Oluştur (Align, Plan and Organise)
· Geliştirme, Tedarik ve Kurulum (Build, Acquire and Implement)
· Hizmet Sunumu, Servis ve Destek (Deliver, Service and Support)
· İzleme, Değerlendirme ve Sağlama (Monitor, Evaluate and Assess)
CobiT 5 içerisinde birleştirilen süreçler:
· DS7 süreci PO7 ile birleştirilmiştir
· PO6 süreci PO1 ile birleştirilmiştir
· PO2 süreci PO3 ile birleştirilmiştir
· AI2 süreci AI3 ile birleştirilmiştir
· DS12 süreci DS5 ile birleştirilmiştir
CobiT 5 içerisinde yeni domain’e atanan süreçler:
· ME4 süreci EDM1, 2, 3, 4, 5 olarak belirlenmiştir.
CobiT 5 içerisinde yeri değişen süreçler:
· PO1 süreci yeni yapıda APO2 başlığı altına alınmıştır.
· PO4 süreci yeni yapıda APO1 başlığı altına alınmıştır.
CobiT 5 içerisinde tamamen yeni olan süreçler:
· EDM1 Yönetişim Çerçevesini Belirle ve Yaşat
· APO1 BS Yönetim Çerçevesini Tanımla
· APO4 Yeniliklerin Yönetimi (kısmen PO3)
· APO8 İlişkilerin Yönetimi
· BAI8 Bilgi Birikimi Yönetimi
· DSS2 Varlıkların Yönetimi (kısmen DS9)
· DSS8 İş Süreçleri Kontrollerinin Yönetimi
ISACA IT tarafından kullanılan standartlar içerisinde bulunmayan IT Yönetişim olgusunu fark etmiş ve bunu ISO 38500 standardını kullanarak yeni oluşturduğu CobiT 5 yapısına eklemiştir. IT Yönetişiminde üç seviye bulunmaktadır:
· Yönetişim(Değerlendir, Yönet, İzle)
· Yönetim (Planla, Oluştur, Çalıştır, İzle)
· Operasyon (Planla, Yap, Kontrol Et, Harekete Geç)
3. Uygulama & Kurumsal BS Yönetişimin Sürekli Geliştirme (Implementing & Continually Improving Enterprise Governance of IT)
Cobit 4.1v lifecycle yaklaşımı (Implementing and Continually Improving IT Governance) güncellenerek mevcut versiyondan CobiT 5 versiyona geçiş çalışmalarını kapsayan bir dokümandır.
Özetle, CobiT 5 önceki sürümlerde tanımlanmış süreç modelleri üzerine kurulmaktadır. Mevcut süreçlerin birleştirilmesi ve/veya başka bir başlık altına alınması sağlanmış ve IT Yönetişim ve Yönetim başlıklarını içeren bir çerçeve oluşturulmuştur. Seviye 2 olgunluk seviyesinde olan kurumların CobiT 4.1v den CobiT 5 ‘e geçişlerinin kolay olacaktır. Seviye 1 ve altında olgunluk seviyesi bulunan kurumların doğrudan CobiT 5 çerçevesi için çalışmaları ve olgunluk seviyelerini yeni çerçeveye göre oluşturmaya çalışmaları daha hızlı sonuç almalarına ve daha az maliyetli olacaktır.
CobiT 4.1v süreçleri uygulayan bir organizasyon öncelikle CobiT 4.1v süreçlerinin uyumunu sağlamalı ve daha sonrasında CobiT 5 ile süreçlerini hizalamalıdır. Sistem Yönetimi ve Çerçeve Yönetişimi algıları birçok organizasyon için tamamen yeni bir anlayıştır. Sistem Yönetimi ve Çerçeve Yönetişimi ile ilgili olarak temel bir yaklaşım oluşturmasını gerektirmektedir. Bu yaklaşımda yöneticilerin nasıl planlama yapacağı, nasıl organize edeceği, nasıl yöneteceği ve nasıl gerekli olan performansı göstereceği belirlenmelidir.
Bağımsız Denetim Kuruluşlarınca Gerçekleştirilecek Banka Bilgi Sistemleri ve Bankacılık Süreçlerinin Denetimi Hakkında Yönetmeliğine göre bağımsız denetim ekipleri tarafından yapılacak olan denetimlerde denetim döneminin başlangıcı itibariyle (ISACA) Bilgi Sistemleri Yönetişim Enstitüsü tarafından yayınlanmış olan güncel versiyonun kullanılması gerekmektedir.
BDDK tarafından bankaların denetimi kapsamında kullanılan CobiT, güncellenmesi ile birlikte BDDK ve bağımsız denetim firmaları tarafında bankalara yönelik yapılan denetimlerin değişebileceği ön görülmektedir.